Przykłady najciekawszych cyberataków z ostatnich miesięcy

  

USA kontra Rosja

2 lipca 2021 r. wielu amerykańskich dostawców usług zarządzanych (MSP) i ich klientów padło ofiarą ataku ransomware przeprowadzonego przez rosyjską grupę REvil, który spowodował rozległe przestoje w pracy ponad tysiąca firm. Do ataku przyczyniła się podatność oprogramowania VSA (Virtual System Administrator) firmy Kaseya, które służy do zdalnego monitorowania i zarządzania środowiskiem IT. Luka umożliwiająca ominięcie uwierzytelniania pozwoliła na przejęcie kontroli nad VSA i rozprowadzenie kodu ransomware za pośrednictwem hostów zarządzanych przez to oprogramowanie. Sprawa sięgnęła najwyższych władz i została poruszona 9 lipca podczas rozmowy Joe Bidena z Władimirem Putinem, któremu prezydent USA postawił bardzo ostre warunki, żądając ustalenia sprawców. 13 lipca strony internetowe REvil i inna infrastruktura zniknęły z internetu, a 23 lipca firma Kaseya ogłosiła, że otrzymała z „zaufanego źródła” uniwersalne narzędzie deszyfrujące i pomaga ofiarom przywrócić ich pliki. W październiku twórca grupy REvil, Yaroslav Vasinskyi (z pochodzenia Ukrainiec) został aresztowany… w Polsce.

 

Rurociąg zaszyfrowany

7 maja 2021 r. Colonial Pipeline, amerykański system rurociągów naftowych, ucierpiał w wyniku cyberataku przeprowadzonego przez grupę DarkSide z wykorzystaniem oprogramowania ransomware. W celu powstrzymania ataku konieczne było wstrzymanie wszystkich operacji związanych z transportem ropy. W ciągu kilku godzin od ataku firma zapłaciła kwotę żądaną przez hakerów (75 bitcoinów, czyli wówczas 4,4 mln dol.), po czym otrzymała od DarkSide narzędzie informatyczne do przywrócenia systemu. Działało ono jednak wyjątkowo powoli, więc poprawną pracę rurociągu udało się przywrócić dopieropo 5 dniach. Uważa się, że ta sama grupa wykradła 100 GB danych z serwerów Colonial Pipeline dzień przed atakiem ransomware. Natomiast 7 czerwca amerykański Departament Sprawiedliwości ogłosił, że odzyskał 63,7 bitcoinów (około 2,3 mln dol.) pochodzących z okupu. Grupa DarkSide zaś zmieniła nazwę i wróciła jako BlackMatter.

 

Rekordowy okup

Firma JBS USA Holdings zapłaciła 11 mln dol. okupu cyberprzestępcom, którzy w czerwcu 2021 r. wykorzystali ransomware do zablokowania pracy zakładów przetwarzających około jednej piątej amerykańskiej podaży mięsa. Firma zachowała ciągłość operacyjną, jednak amerykańscy konsumenci w panice zaczęli wykupować mięso, obawiając się jego niedoboru.

 

E-sklepy z otwartymi drzwiami

Magento 1, platforma open source do prowadzenia sklepów internetowych, miała lukę bezpieczeństwa, która została wykorzystana do ataku na około 500 witryn. Podobną lukę wykryto w komercyjnej wersji tej aplikacji – Adobe Commerce. Cyberprzestępcy infekowali strony sklepów za pomocą skimmerów kart płatniczych – ich dane podczas wprowadzania do systemu były przechwytywane przez złośliwy kod osadzony na zaatakowanej witrynie i wysyłane do serwerów kontrolowanych przez hakerów. Połączyli oni dwa rodzaje złośliwych działań – wstrzykiwanie kodu SQL oraz obiektu PHP we wtyczce Magento znanej jako Quickview. Exploity pozwalały hakerom na wykonanie złośliwego kodu bezpośrednio na serwerze witryny.